Vállalati biztonság a hálózaton

Elsősorban akkor van félnivalónk, ha belső rendszerünk az internetről is elérhető – ami ma már szinte szükségszerű -, s kiváltképp akkor, ha elektronikus piactereken működünk, vagy saját virtuális vállalatunkon belül létkérdés az állandó elérhetőségünk. Egy betörés akkor is veszteséget okoz, ha nem tesz kárt semmiben. Ha például egy cég elektronikus behatolást észlel, és esetleg lezárja a teljes internetforgalmat, ez egyszersmind lehetetlenné teszi az ügyfelek, a beszállítók és a telephelyek közötti üzletmenetet. Következésképpen a leghatékonyabb módszer a megelőző védelem – noha ez sem olyan egyszerű.

Féltett információk

Az internet tehát egyszerre áldás és átok az informatikai rendszerek számára. A világháló akkor is veszélyt jelent, ha csak egy sima PC-vel kapcsolódunk hozzá, akkor azonban különösen, ha bonyolult belső hálózatok, szerverek és adattárolók válhatnak támadások célpontjává. Különösen igaz ez akkor, ha földrajzilag egymástól távol lévő belső hálózatok vannak összekötve, s azok – a világhálóra kapcsolódva, annak segítségével – például a kereskedelem, a marketing vagy a termelésszervezés lebonyolítására hivatottak. Vagyis mindazok a rendkívüli előnyök, amelyek az informatikát oly nélkülözhetetlenné teszik, a veszélyeket is magukban rejtik.

Az információ a vállalkozások egyik legféltettebb értéke. Ha illetéktelen kezekbe kerül – megsérül vagy megváltoztatják, esetleg elérhetetlenné válik -, akkor ez az adott vállalkozás életében anyagi és erkölcsi veszteségként jelentkezik. Ennek elkerülésére olyan hálózatbiztonsági megoldásokat kell alkalmazni, mint például a különféle tűzfalak, virtuális magánhálózatok, felhasználói hitelesítő-azonosító rendszerek, vírus- és tartalomszűrők. Ezen elemek ésszerű összehangolásával kialakítható a megfelelő biztonságpolitika.

Folyamatos frissítés

A biztonság nem termék, hanem folyamat. Fő elemei: a biztonsági politika kialakítása s az előzetes átvilágítás; a biztonsági rendszer megtervezése és megvalósítása; az oktatás és a továbbképzés; valamint a rendszer működtetése.

A folyamatelemzés minden bizonnyal legnehezebb része a védendő adatok értékének meghatározása, ám ez nem is tartozik szorosan az informatikai feladatok közé. Azonban kihagyhatatlan, mert a védelmi intézkedések költségének szoros összhangban kell állnia a védett értékkel.

A szakemberek a biztonsági rendszerek felállításakor vagy kiértékelésekor három fontos alapszabályt tartanak szem előtt:

– A biztonság csak annyira erős, amennyire a rendszer leggyengébb láncszeme. Az erős biztonsági követelményeket a teljes rendszerben érvényesíteni kell, máskülönben értelmetlenek.

– Nincs 100 százalékos biztonság. Ennek ellenére – hogy a lehető legmagasabb szintet érjük el – folyamatosan frissíteni kell rendszereinket és módszereinket.

– A rendszergazdákban meg kell bízni, hiszen valakinek működtetnie kell a rendszereket, ellenőrizni a hozzáférést, védelmet nyújtani az informatikai infrastruktúra érzékeny belső szervei számára.

Szóródó árak

Számos cég nyújt átfogó biztonsági értékelést (más szóval sebezhetőségi vagy biztonsági kockázatfelmérést). Ezek a "felügyelt biztonsági szolgáltatók" (Managed Security Service Providers, MSSP-k) feltárják a megrendelő IT környezetének minden tulajdonságát, beleértve annak meghatározását is, hogy fizikailag ki férhet hozzá az érzékeny adatokhoz. A szolgáltatás ára néhány tízezertől néhány százezer dollárig terjedhet, és a felmérés esetleg hónapokig tarthat.

Az első lépés mindig a védendő érték, illetve környezetének elemzése. Az elviselhető költség nyilván a védendő érték nagyságától függ. De vajon mennyit érnek a cég adatai? A legegyszerűbb felelet szerint annyit, amennyibe a teljes visszaállításuk kerülne, ha elvesznének. A lehetőségek kiértékeléskor többféle esemény hatását is számba lehet venni. A legrosszabb változatként esetleg egy pusztító tüzet, illetve egy valószínűbb forgatókönyvet, mint például egy szabotázst.

Nem könnyebb a megtérülés számítása sem. A döntés akkor egyszerűbb, ha a biztonsági befektetés költségcsökkenéssel jár. Ám az egyértelmű, hogy a sebezhetőséget nem lehet pénzösszeggel jellemezni. Ebből is látszik, hogy hatalmas feladat egy cég biztonsági értékelése. Csak lépésről lépésre érdemes végrehajtani, elsőként – például – el kell készíteni a hálózat pontos és friss térképét.

Azonosítási eljárások

Másodjára azt kell áttekinteni, hogy miként azonosítjuk a felhasználót. Bármely számítógéprendszer alapeleme ugyanis a felhasználó azonosítása. Probléma viszont, hogy minden rendszer másképpen teszi ugyanezt. Az évek során számos megoldási kísérlet vált ismertté, de egyik sem hozott áttörést.

Mivel a különféle rendszerek nem kommunikálnak egymással könnyedén – és a cégek sem szívesen térnek át az újabb, széles körben elfogadott szabványokon alapuló megoldásokra -, ezért is érdekesek a Novell elérési és biztonsági szolgáltatásokat nyújtó megoldásai, amelyek koordinálják a felhasználók létrehozását, törlését és azonosítását a különböző rendszerekben. Lehetővé teszik az alkalmazások, adatbázisok felügyeletét webes és vezeték nélküli csatlakozású, virtuális magánhálózatú (VPN-), valamint tárcsázással elérhető ügyfelek esetén is.

A felhasználóknak e platformfüggetlen megoldásokban csak egyfajta bizonyítvánnyal kell rendelkezniük ahhoz, hogy a számukra rendelt erőforrásokhoz hozzáférjenek. Az azonosítási eljárások tartománya az egyszerű név-jelszó páros begépelésétől a bonyolult biometrikus módszerekig terjedhet.

Három alapvető azonosító tényezőt szokás megkülönböztetni: a jelszót, a tokent (kártyát, zsetont stb.) és valamely biológiai tulajdonságunkat. E tényezők kombinálásával jön létre a többtényezős (multifaktor) azonosítás technikája, amely alapvetően javítja az azonosítás megbízhatóságát. Ez persze lehet fokozatos is. Például az elemi név-jelszó párossal csak az alacsony érzékenységű adatokhoz és alkalmazásokhoz férhet hozzá a felhasználó, de ujjlenyomata segítségével már a fizetési adatokhoz is.

Védelem a tűzfallal

Manapság, amikor a cégek, az intézmények nagy számban csatlakoztatják hálózataikat az internetre, a védelem egyik fontos eleme a tűzfal. Ez a számítógépes hálózatokban egy olyan kiszolgáló számítógép vagy program, melyet a lokális és külső hálózat közé, a csatlakozási pontra telepítenek, hogy az illetéktelen behatolásokat megakadályozzák, és egyúttal lehetővé tegyék a kifelé irányuló forgalom ellenőrzését is.

A tűzfal egyik típusa a "külső tűzfal", amely a teljes helyi hálózatot részben izolálja az internettől, míg a "belső tűzfal" a helyi hálózat egy különösen védendő részét zárja el annak többi részétől, így az internettől is.

Kétféle tűzfalszisztémát különböztetünk meg. A csomagszűrők (Packet Filters) a tűzfalak első, legegyszerűbb generációját alkotják. A beállított szűrési szabályok alapján egyes csomagokat továbbítanak, másokat eldobnak. Segítségükkel meghatározható, hogy milyen címtartományból fogadunk el csomagokat, azaz alhálózatonként vagy akár gépenként szabályozhatjuk a szolgáltatások használatát. Ugyancsak megoldható, hogy a belső felhasználók számára korlátozzuk a külső hálózati szolgáltatásokhoz való hozzáférést.

A proxytűzfalak nem szűrőként, hanem közvetítőként viselkednek a védett hálózat és a külvilág között. Kívülről a tűzfal mögötti számítógépek teljesen láthatatlanok. Ez a megoldás teljesen elfedi a belső hálózati struktúrát, a gépek címeit és neveit. Egyetlen regisztrált IP-címmel az egész hálózat működtethető. A regisztrált címet a tűzfal használja, a mögötte lévő gépek regisztrálatlan címet kapnak. Két kommunikálni kívánó gép között a proxyn keresztül épül fel kapcsolat, nem pedig közvetlenül.

Felkészítő tanfolyamok

A védelmet szolgáló eszközök következő csoportjába a tokenek és az intelligens kártyák tartoznak. A biztonsági token egy kisméretű eszköz, amelynek LCD-kijelzőjén percenként újabb jelszó jelenik meg. Ez a megoldás sokkal biztonságosabb a hagyományos jelszónál, lévén egy állandóan változó jelszót sem kitalálni, sem feltörni nem lehet.

Az interneten küldött e-mailes vásárlási vagy banki tranzakció meghatározhatatlan számú számítógépen halad át, mielőtt célba ér, és minden egyes szerveren nyomot hagy. Egy hackernek szinte rutinfeladat megfejteni az üzenetekben található személyre utaló biztonsági adatokat. Ezek birtokában aztán a meglopott nevében vásárolhat, banki műveleteket végezhet. Ez ellen véd az intelligens kártya, amely egy bankkártya méretű eszköz mikroprocesszorral és memóriával. Az intelligens kártyák alkalmasak professzionális és otthoni környezetben való használatra is. Hátrányuk, hogy megnövelik a költségeket, és csak ezekkel lehet belépni a hálózatba.

A legmegfelelőbb biztonsági rendszer kiválasztása, felépítése persze nem olyan egyszerű. Ezért használóik a legjobb kódtörőkkel igyekeznek kontrolláltatni biztonsági rendszereiket. Előfordul, hogy a bitvadászok és a kódtörők gyakran biztonsági tanácsadóként próbálnak elhelyezkedni. Ilyenkor megbízásból és térítésért végzik, amit addig szórakozásból tettek: felderítik a célul kijelölt informatikai rendszer gyenge pontjait. Erről részletes jelentést kell készíteniük a megbízó számára. Mindezt abból a célból, hogy a "blackhat community" (fekete kalapos társaság), a crackerek által okozott károkat megelőzzék vagy enyhítsék.

A biztonságpolitika kialakítására, illetve az ezt szolgáló rendszerek üzemeltetésére ma már idehaza is tartanak felkészítéseket. Ezek sorába tartoznak például a PiK-SYS Kft. által rendezett tanfolyamok. Ezek igazi célja ébren tartani a biztonságért felelősöket, és állandó, naprakész információkat nyújtani számukra. Képzési módszerük alapja a fogalmak tisztázása és az elérhető védelem értékeinek elemzése.

Bitvadászok és kódtörők

Mindenekelőtt fontos kérdés, hogy kik ellen kell a leginkább védenünk rendszereinket? A hacker ("bitvadász") a számítógéprendszerek biztonsági réseit szórakozásból, a szakmai kihívások legyőzése okán felderítő, jellemzően fiatal szakember. A hacker nem okoz kárt, nem ez a célja. Általában nyomot is csak azért hagy "munkája" során, hogy társai előtt bizonyítsa tevékenységét.

A cracker ("kódtörő") a védelmi eljárások feltörésével foglalkozó számítógép-szakember. Jellemzően fiatal, legtöbbször a védett termék ingyenes terjesztése céljából töri fel a rendszereket. E tevékenységével bizonyíthatóan kárt okoz, hasonlóképpen a nyilvános, nagy forgalmú webhelyek megváltoztatásával, rongálásával is. E "szakemberek" legkárosabb tevékenysége a hitelkártyaszámok megszerzése és térítés ellenében való terjesztése.

Noha a védelmi eszközök palettája egyre bővül, az internet csak tovább bonyolítja a megfelelő megoldás kiválaszthatóságát. Ráadásul a fokozatosan felépülő védelmi eszközök gyakran más-más forrásból származnak, ami azután összehangolást igényel. Éppen ezért a Novell és stratégiai partnerei megkíséreltek elébe menni a feladatoknak, és kialakítani egy koherens e-biztonságpolitikai keretrendszert, amely világosan meghatározza, mit is kell tenni az elektronikus üzletvitel biztonságának megteremtéséért.

Felismerve, hogy önmagában egyetlen gyártó sem képes megoldást nyújtani, a Novell a partnerei bevonásával igyekezett összeállítani egy komplex szabályrendszert. A kezdeményezésben megfogalmazott szempontok szerint a cégek informatikai rendszerei egyetlen pontból felügyelhetők akkor is, ha a cégnél – a ma szokásos módon – többféle rendszer található. A központi felügyelet révén leegyszerűsödik a hatékony biztonsági szabályok kialakítása, figyelése és betartatása.

Hálózati e-biztonság

Együtt, integrált rendszerként kilenc elemmel hozható létre átfogó biztonsági megoldás, amely véd a jogosulatlan hozzáférésektől, felderíti a biztonsági problémákat, és lehetővé teszi azok gyors kijavítását.

1. Tűzfal. A tűzfalak védelmet nyújtanak a belső és a külső fenyegetések ellen, ugyanakkor biztonságossá teszik – az alkalmazottak, a vásárlók és a partnerek számára – az interneten keresztüli hozzáférést a vállalati adatokhoz.

2. Egypontos bejelentkezés. Csökkenti a többféle jelszó használatából származó felügyeleti terheket, valamint annak veszélyét, hogy az alkalmazottak jól látható helyre leírják jelszavaikat.

3. Virtuális magánhálózat. A költségek szempontjából hatékony és biztonságos mód a távoli felhasználók és fiókirodák, valamint a központ összekapcsolására.

4. Feljogosítás és hitelesítés. Az elektronikus üzletvitel biztonságának lelke. A hitelesítés igazolja, hogy a felhasználók valóban azok, akiknek mondják magukat. A feljogosítás az a folyamat, amelynek során az érintettek hozzáférési jogokat kapnak a számukra meghatározott biztonsági szintnek megfelelően.

5. Biztonságos üzleti kommunikáció. Az egyre inkább jellemző csoportos munka során egy biztonságos, azonnali üzenettovábbítási környezet létfontosságú a csoporttagok hatékony kommunikációjához.

6. Tanúsítványok kezelése. A PKI (nyilvános kulcsú titkosítási infrastruktúra) az adatok védelmének legbiztonságosabb és szabványos módja a különböző rendszerekből felépülő interneten. Az adatok titkosítva továbbítódnak, és csak az arra jogosult címzett képes a dekódolásra.

7. Behatolásfelderítés. A jogosulatlan felhasználók azonosítása, figyelése és kizárása.

8. Vírusvédelem. Az összes lehetséges támadási felület védelme a vírusok ellen.

9. Hálózatfelügyelet. Egyszerű felügyeleti eszközök, amelyekkel automatizálhatók a biztonságfelügyelet egyes funkciói.

Veszélyes vírusok

A teljes körű védelem tehát ezen eszközök alkalmazásával valósulhat meg. Ezek sorában a vírusvédelemnek is kiemelkedő jelentősége van. E veszély szempontjából a legegyszerűbb eszköz, az e-mail fokozott kockázatot jelent.

A legfrissebb elemzések szerint a vírussal fertőzött e-mailek száma 2002-ben 80 százalékkal nőtt, így minden 212 elektronikus levél közül egy fertőzött volt – állítja a MessageLabs angol fejlesztő cég jelentése. A tavalyi év "slágere" a Klez.H nevű vírus volt, amely hamisítja a küldő e-mail címét. A fejlesztő cég közel ötmillió Klez.H vírussal fertőzött levelet regisztrált.

A második helyen a Yaha.E végzett. Ezzel a vírussal fertőzve több mint egymillió elektronikus levél keringett a hálón. Látható tehát, hogy van mit tenni a vírusvédelem területén. Szerencsére azonban immár számos szolgáltató tevékenykedik hazánkban, amelyek egy része nemzetközi minősítések birtokában végez biztonsági tevékenységet.